8月28日起，一條“某流行企業(yè)財(cái)務(wù)軟件0day漏洞或被大規(guī)模勒索利用”的消息，在行業(yè)內(nèi)開始流傳。

29日，有用戶在微博爆料稱，用友旗下專注于小微企業(yè)云服務(wù)暢捷通T+大面積出現(xiàn)勒索病毒。在安全廠商與與用戶壓力下，用友暢捷通在29日發(fā)布公告“回應(yīng)”，承認(rèn)有用戶受到攻擊。有用友暢捷通企業(yè)客戶重要文件被勒索病毒加密，且用友方面也無法解密，被迫支付了0.2比特幣（相當(dāng)于27439元人民幣）的“贖金”。

據(jù)悉，“暢捷通T+”是一款“人財(cái)貨客”一體化管理軟件，主要功能是針對中小型工貿(mào)和商貿(mào)企業(yè)的財(cái)務(wù)業(yè)務(wù)一體化應(yīng)用，其官網(wǎng)顯示，軟件業(yè)務(wù)付費(fèi)用戶超過131萬，涉及食品、家裝建材、商貿(mào)、電子、化工、軟件服務(wù)、廣告?zhèn)髅降戎T多行業(yè)。

中“毒”企業(yè)被索要0.2比特幣才能解密

自2022年08月28日起，確認(rèn)來自該勒索病毒的攻擊案例已超2000余例，且該數(shù)量仍在不斷上漲。據(jù)考證，本次遭遇勒索病毒攻擊的對象主要為CRM（Customer Relationship Management客戶關(guān)系管理系統(tǒng)）廠商，包含“用友”及旗下“暢捷通”等管理軟件。中招該病毒計(jì)算機(jī)文件被病毒加密，需支付0.2比特幣“贖金”（約2.7萬人民幣）方可解密。此次攻擊受影響的省份包括北京，上海，山東，江蘇，浙江、廣東、安徽、四川、福建、河北等地。

用友暢捷通與用戶各執(zhí)一詞

用友網(wǎng)絡(luò)和暢捷通在勒索病毒事件的“回應(yīng)”公告中稱，部分客戶的軟件服務(wù)器為客戶自有部署方式，且未做必要的網(wǎng)絡(luò)安全防護(hù)。其中，日常按系統(tǒng)提示進(jìn)行了數(shù)據(jù)備份的客戶已通過恢復(fù)備份數(shù)據(jù)解決，僅有少數(shù)客戶受到影響，公司已安排技術(shù)工程師和服務(wù)商積極協(xié)助客戶解決問題，并建議客戶升級公有云服務(wù)或采用云管家等云部署方式。

據(jù)了解，暢捷通系列管理軟件擁有“云部署”和“自有部署”兩種方式，前者部署主要在阿里云、華為云、騰訊云等各類公有云平臺上，后者安裝軟件后數(shù)據(jù)存儲在本地。

“本地部署的需要安裝APP和數(shù)據(jù)庫，數(shù)據(jù)文件是儲存在本地?cái)?shù)據(jù)庫里的，要升級軟件更新版本需要重新安裝，云端的產(chǎn)品用的是總服務(wù)器，租用的是阿里云的服務(wù)器，數(shù)據(jù)是儲存在云端的，且不需要固定登錄地點(diǎn)以及限制，軟件后臺是自動升級?！笔矍翱头绱私榻B道兩者間區(qū)別。

采用自有部署的客戶本地?cái)?shù)據(jù)被勒索病毒攻擊，按照用友聲明中建議，若想升級公有云服務(wù)只能“重新購買”，“升級只能升本地最新軟件，不做回收，數(shù)據(jù)可以導(dǎo)入”暢捷通客服這樣回應(yīng)。

記者查閱暢捷通T+的云端升級版“T+CLOUD”售價(jià)發(fā)現(xiàn)，該軟件可供30個(gè)用戶使用的一套按年計(jì)費(fèi)，在選擇頁面顯示所有產(chǎn)品模塊后售價(jià)超8萬余萬，售前客服表示“云端安全維護(hù)不收費(fèi)，不額外收費(fèi)”。

但是對于用友暢捷通的回應(yīng)，被影響客戶并不認(rèn)同。

“用友的公告就是甩鍋?！币患摇爸姓小钡挠脩粲糜褧辰萃ㄔ诮邮苡浾卟稍L時(shí)表示，其所在公司使用的軟件是暢捷通T+版本，病毒模塊的投放時(shí)間與用友暢捷通T+軟件模塊升級時(shí)間相近，不排除黑客通過供應(yīng)鏈污染或漏洞的方式進(jìn)行投毒。

“用友的公告未提及中毒用戶應(yīng)該如何恢復(fù)數(shù)據(jù)。在我看來，有推卸責(zé)任之嫌。”一位資深計(jì)算機(jī)軟件專業(yè)人士也表示。

另一家受影響的用友暢捷通企業(yè)用戶無奈地告訴記者，公司已經(jīng)付了贖金解密，“重要的文件都被加密，用友都沒辦法解密，我們能有什么辦法，只能付贖金”。據(jù)該網(wǎng)友介紹，即使繳納贖金，也并非完全有用，“我認(rèn)識的一周前剛付費(fèi)恢復(fù)，今天又被加密了，現(xiàn)在只能一天備份一次”。

一位網(wǎng)絡(luò)安全行業(yè)人士向記者表示，這次勒索病毒挑的對象是用友的T系列產(chǎn)品，這些產(chǎn)品面向的是中小企業(yè)，這些企業(yè)的服務(wù)器沒有什么專業(yè)的防護(hù)，本身就很容易中招。另一方面，勒索事件的爆發(fā)，說明用友這些產(chǎn)品本身可能就存在漏洞。

據(jù)一家第三方安全廠商分析，通過用友暢捷通T+的勒索病毒留下的提示信息判斷，該病毒與之前流行的TellYouThePass勒索病毒為關(guān)聯(lián)家族，可能就是TellYouThePass的最新變種。

TellYouThePass勒索軟件于2019年首次披露，是一款以牟取經(jīng)濟(jì)利益為目的的勒索軟件，攻擊者旨在加密文件并要求付費(fèi)恢復(fù)文件。

如何根治勒索病毒黑產(chǎn)

勒索病毒是最常見的網(wǎng)絡(luò)安全攻擊手法之一，已經(jīng)由個(gè)人化演變?yōu)楫a(chǎn)業(yè)化，并形成一套成體系的產(chǎn)業(yè)鏈。國家互聯(lián)網(wǎng)數(shù)據(jù)中心產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟智庫專家顧黃亮表示，除了加強(qiáng)企業(yè)信息安全觀念，加固操作系統(tǒng)和應(yīng)用系統(tǒng)，提升企業(yè)網(wǎng)絡(luò)層的安全防御水平之外，更重要的還是要對關(guān)鍵數(shù)據(jù)進(jìn)行備份。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明